Come evitare il malfunzionamento di Internet

Un esercito ignaro di dispositivi connessi ha causato una folle interruzione dei principali siti Internet. Gli utenti dell’IoT devono essere messi al corrente della situazione.

Forse la cosa più impressionante dell’attacco DDos della scorsa settimana, che ha bloccato più di 80 siti internet e servizi online, è il fatto che i criminali non abbiano realizzato l’attacco con mezzi particolarmente sofisticati o all’avanguardia ma che abbiano creato un vero e proprio esercito di dispositivi connessi dei consumatori (quello che chiamiamo Internet delle Cose o IoT). In questo post vi spiegheremo alcuni concetti fondamentali e come questo incidente riguardi anche tutti noi.

Attack on DYN DNS explained

L’attacco

Il 21 ottobre molti americani si sono svegliati e hanno scoperto che alcuni dei loro siti più famosi non erano più disponibili. Niente Netflix, niente transazioni attraverso PayPal, niente giochi online con la PlayStation della Sony. E non si poteva nemmeno twittare il problema (anche Twitter aveva smesso di funzionare).

Complessivamente, 85 siti principali avevano qualche problemino o semplicemente non rispondevano.

Da quello che è emerso, il problema di fondo è stato una serie di attacchi (tre in tutto) contro l’infrastruttura americana di Internet. Il primo attacco ha riguardato la costa orientale; il secondo ha colpito gli utenti della California, del Midwest e anche dell’Europa; il terzo attacco è stato attenuato dalla Dyn, l’azienda del servizio DNS che era il principale obiettivo dei tre attacchi.

Sono stati colpiti servizi musicali, mezzi di comunicazione e molte altre risorse. Ad Amazon è stata riservata un’attenzione particolare: un altro attacco nell’Europa occidentale ha bloccato il sito per un po’ di tempo.

DNS e DDoS

Quindi, come è stato possibile bloccare così tanti siti con soli tre attacchi? Per capirlo, è importante sapere cos’è un DNS.

Il sistema dei nomi di dominio, o DNS, è il sistema che collega il vostro browser al sito internet che state cercando. Ogni sito possiede essenzialmente un indirizzo digitale, un posto in cui viene ospitato, così come anche un’URL. Ad esempio, l’indirizzo IP del sito blog.kaspersky.com è 161.47.21.156.

Un server DNS funziona come una rubrica d’indirizzi (comunica al vostro browser in quale luogo digitale si trova un sito). Se un server DNS non risponde ad una richiesta, il vostro browser non saprà come caricare la pagina. Ecco perché i provider DNS (soprattutto i principali) costituiscono una parte essenziale dell’infrastruttura critica di Internet.

Questo ci porta a parlare di DDoS. Un attacco di negazione del servizio (DdoS) riempie di richieste i server che fanno funzionare un sito web o i servizi online fino a quando questi non cedono e i siti smettono di funzionare. Per effettuare un attacco DDoS, i criminali devono inviare un enorme numero di richieste ed ecco perché hanno bisogno di tanti dispositivi per farlo. Per questo genere d’attacco, i criminali utilizzano solitamente tantissimi computer hackerati, smartphone, gadget e altri dispositivi connessi. Quando questi dispositivi funzionano insieme (ma senza che i loro proprietari lo sappiano o senza che diano il loro consenso) formano le botnet.

Mettendo K.O la Dyn

Ecco come sono andate le cose: qualcuno ha utilizzato una botnet gigante contro la Dyn che includeva decine di milioni di dispositivi (telecamere IP, router, stampanti e altri gadget intelligenti dell’Internet delle Cose); i criminali hanno riempito di richieste il sito della Dyn (1.2 terabits al secondo) provocando un danno di circa 110 milioni di dollari. Ad ogni modo, i criminali responsabili dell’attacco non hanno chiesto un riscatto e non hanno fatto altre richieste.

Hanno solo realizzato l’attacco e non hanno lasciato tracce. I gruppi hacker New World Hacker e RedCult hanno però affermato di essere i responsabili dell’incidente. Per di più, RedCult ha promesso di mettere a segno altri attacchi in futuro.

Perché l’utente medio dovrebbe preoccuparsi di queste cose?

Anche se l’incidente alla Dyn non vi ha riguardato personalmente, questo non vuol dire che non ne abbiate preso parte.

Per creare una botnet, i criminali hanno bisogno di tanti dispositivi con connessione a Internet. Quanti dispositivi connessi possedete? Un telefono, forse una smart TV, un videoregistratore e una webcam? Forse un termostato o un frigorifero intelligente? I gadget hackerati rispondono contemporaneamente ai comandi di due padroni: per i proprietari i dispositivi funzionano come sempre anche se, invece, seguono gli ordini dei criminali e attaccano i siti web. Milioni di dispositivi del genere hanno fatto fuori l’azienda Dyn.

La botnet gigante è stata creata con l’aiuto del malware Mirai. L’azione del malware è piuttosto semplice: scansiona i dispositivi IoT e prova ad inserire una password in qualsiasi cosa esso trovi. In genere la gente non cambia le impostazioni predefinite e le password dei propri gadget, rendendoli quindi facilmente hackerabili (ecco perché sono stati reclutati nell’esercito zombie di Mirai e di malware simili).

Questo vuol dire che la vostra TV connessa può far parte di una botnet, e voi nemmeno lo sapete.

A settembre di quest’anno qualcuno ha utilizzato Mirai per bloccare il blog sulla sicurezza IT del giornalista Brian Krebs, sommergendo il server di richieste da parte di 380.000 dispositivi zombie alla velocità di oltre 665 gigabite al secondo. Il provided ha cercato di restare connesso ma alla fine non ce l’ha fatta. Il blog ha iniziato a funzionare nuovamente solo che Google è intervenuto per proteggerlo.

Poco dopo l’attacco, un utente con lo pseudonimo di Anna-senpai ha pubblicato il codice sorgente di Mirai su un forum clandestino. I criminali non se lo sono fatto scappare. Da allora, il numero di bot Mirai sono aumentati costantemente; l’attacco Dyn è avvenuto dopo meno di un mese.

Coinvolgendo l’Internet delle Cose

L’attacco DDoS è molto famoso e utilizzare dispositivi intelligenti in attacchi del genere attrae i criminali (come vi abbiamo già detto, l’Internet delle Cose è pieno di bug ed è vulnerabile). Ed è improbabile che questa situazione cambi in tempi brevi.

Gli sviluppatori di gadget intelligenti fanno poco per proteggere i propri dispositivi e non spiegano agli utenti che dovrebbero cambiare le password delle proprie macchine fotografiche, dei router, delle stampanti e di altri dispositivi. Infatti, non tutti i dispositivi consentono agli utenti di farlo. Questo rende i dispositivi dell’Internet delle Cose dei bersagli perfetti.

Al giorno d’oggi tra i 7 e i 19 miliardi di dispositivi sono connessi al World Wide Web. Secondo alcune stime questa cifra raggiungerà i 30-50 miliardi entro i prossimi cinque anni. Quasi sicuramente la maggior parte di questi dispositivi non sarà più protetta in maniera completa. Inoltre, i gadget compromessi da Mirai sono ancora attivi (e nuovi dispositivi si uniscono ogni giorno all’esercito di bot).

E per quanto riguarda il lungo termine?

I criminali utilizzano spesso le botnet per attaccare l’infrastruttura industriale di base (sottostazioni elettriche, servizi idrici, e sì, anche i provider DNS). Il ricercatore di sicurezza Bruce Schneier osserva e ritiene che qualcuno stia “imparando a far bloccare Internet” con l’aiuto di potenti e continui attacchi DDoS.

Le botnet stanno diventando sempre più grandi e quando si concludono questi test d’attacco, non è insensato credere che inizerà un attacco su larga scala. Immaginatevi dozzine di attacchi simultanei potenti come quelli dell’incidente di Dyn e capirete che danni si possono causare. Paesi interi potrebbero non potersi connettere a Internet.

Come non far parte di una botnet

Una persona non può evitare che le botnet blocchino Internet (insieme però possiamo fare tanto per non far parte di una botnet). Potete iniziare a proteggere ancora di più i vostri dispositivi in modo tale che Mirai e malware simili non possano controllarli. Se lo facessero tutti, gli eserciti delle botnet sarebbero insignificanti.

Per evitare che la vostra stampante, il vostro router o il vostro frigorifero facciano sprofondare il mondo nell’oscurità di Internet, prendete queste semplici precauzioni.

1. Cambiate le password predefinite di tutti i vostri dispositivi. Utilizzate combinazioni affidabili che non possano essere facilmente violate.

2. Se possibile, aggiornate il firmware di tutti i vostri gadget (specialmente quelli più vecchi).

3. Siate selettivi nella scelta dei dispositivi intelligenti. Chiedetevi: questo dispositivo ha davvero bisogno di una connessione Internet? Se la risposta è “Sì!” allora prendetevi un po’ di tempo per leggere le opzioni del dispositivo prima di comprarlo. Se scoprite che il dispositivo ha una password con codifica fissa, scegliete un modello diverso.

Consigli